数据跨境流动 | 美国三位高官就Schrems II判决公开向欧盟喊话
编者按:
该判决首当其冲的影响就是爱尔兰DPA已经要求Facebook停止基于SCCs的跨大西洋数据传输【详见:数据跨境流动 | 爱尔兰DPA即将禁止FACEBOOK的数据跨境传输,以及数据跨境流动 | 爱尔兰高等法院暂时允许Facebook继续个人数据跨大西洋传输】
此外,外界也在焦急等待欧盟有关机构对欧盟法院提出的“评估个人数据接收国法律环境”,以及“额外的保护措施”做出进一步的解释【详见:数据跨境流动 | 德国巴符州DPA率先解释与SCC配套的“额外的保障措施”,以及数据跨境流动 | 中国公司基于SCCs开展数据跨境流动的基本策略】。
今天,公号君和大家分享三位美国政府官员联合发表的对“Schrems II判决”的观点文章。三位作者的分量也特别足:
布拉德利·布罗克(Bradley A. Brooker)目前是美国国家情报总监办公室(ODNI)的代理总顾问。
苏吉特·拉曼(Sujit Raman)在美国司法部担任副检察长,负责网络、数据保护和新兴技术问题。
詹姆斯·沙利文(James M. Sullivan)目前担任美国商务部国际贸易管理局负责服务的副助理部长,负责美国政府对欧盟-美国和瑞士-美国隐私盾协议的管理。
9月28日,美国政府发布了一份白皮书(可在美国商务部网站上查阅),标题为 "Schrems II案后,美国对欧盟—美国数据传输的SCCs和其他欧盟法律依据的相关隐私保障措施信息"(“Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers After Schrems II.”)。这份文件详细介绍了美国关于外国情报收集的隐私标准。我们发布该文件是为了帮助维护商业和政府数据从欧盟到美国的自由合法流动。
7月16日,欧盟法院(ECJ)对Data Protection Commissioner v. Facebook Ireland and Maximillian Schrems案(C-311/18)做出了判决。这起案件——也被称为Schrems II——将欧美之间7.1万亿美元的经济关系的未来推向了混乱,正如商务部长威尔伯·罗斯(Wilbur Ross)所说,"这种经济关系对我们各自的公民、公司和政府来说是如此重要"。
作为一个初始事项,欧洲法院的裁决使欧盟委员会2016年的充分性决定无效,该决定是欧盟-美国隐私保护框架的基础,超过5300家公司在进行跨大西洋贸易所需的个人数据传输时,都要依靠该框架来遵守欧盟的数据保护规则。更重要的是,尽管欧盟委员会早先的一项决定,确认了标准合同条款(SCCs)是欧盟法律下向 "不能确保充分保护水平的第三国 "传输个人数据的适当依据,但欧洲法院的裁决对使用欧盟批准的数据传输机制(如SCCs和具有约束力的公司规则(BCRs))的公司施加了新的和前所未有的义务。特别是,依靠SCCs和BCRs的公司现在必须逐一核实接受国在政府获取数据方面是否提供与欧盟法律相当的数据保护水平。如果接受国的法律保护措施不符合欧盟标准,那么公司必须提供适当的保障措施,或者避免传输数据。很少有公司拥有法律专业知识和资源来对美国法律或世界上许多其他国家的法律进行这样的评估。
为了遵守Schrems II的决定,以及根据SCCs和BCRs对欧盟和美国之间的个人数据传输进行相关评估,许多公司和个人已经联系了美国政府,寻求有关美国法律中隐私保护的额外信息。政府的白皮书提供了有关这些保护的准确和背景信息。它还提供了可能对许多公司的分析有影响的其他资源的链接。虽然白皮书并不试图为公司提供有关欧盟法律的指导,或在欧洲法院或监管机构面前采取何种立场,但它确实代表了一种具体、详细和真诚的努力,为恢复跨大西洋数据流的法律确定性构思了一条可能的前进道路。开辟这条道路将需要双方的承诺和努力。
欧盟和美国之间就跨境数据问题进行建设性和诚意接触的必要性从未如此迫切。在欧洲法院做出决定两个多月后,操作规则仍然明显不明确。虽然美国政府仍然致力于与欧盟委员会就加强隐私保护罩进行谈判,以解决欧洲法院在Schrems II案中的担忧,但围绕欧盟-美国数据传输的持续不确定性使大西洋两岸的公司和个人处于越来越难以维持的地位。
2015年,欧洲法院做出了Schrems I的裁决,该裁决使隐私盾的前身框架(即安全港框架)无效。在欧洲法院裁决后的10天内,欧洲当局发布了指导意见,宣布在欧盟与美国隐私盾谈判期间暂停协调执法行动,并阐明了 "确保所有利益相关者[保持]足够的信息 "的未来承诺。然而,在Schrems II决定发布10多周后,欧洲当局拒绝为数千名隐私保护盾参与者——其中70%以上是中小企业——提供任何形式的执法 "宽限期"。全世界的公司仍在等待明确和统一的指导,说明他们在使用SCCs和BCRs时应该采取什么措施——更不用说保证这种指导会让欧洲法院满意了。此外,欧盟委员会尚未提供发布现代化的SCCs的时间表,也没有提供任何细节,以说明这种现代化将如何解决欧洲法院在Schrems II案中的关切。
与此同时,依靠Schrems II的裁决,据报道,爱尔兰数据保护委员会(IDPC)已经分享了一份初步命令草案,如果最终确定,不仅将停止Facebook向美国转移个人数据的所有行为,而且可能会对任何公司向美国合法转移欧盟个人数据的能力提出质疑。这一事态发展牵扯到的不仅仅是Facebook。数十万家美国和欧盟各行业各规模的企业都依赖于数字服务——以及为其提供动力的数据流——来运营和发展。Facebook以程序为由反对IDPC提出的命令,因为该公司似乎只收到了三个星期的时间来准备关于生存重要性问题的辩护;而爱尔兰高等法院最近批准Facebook暂缓执行初步命令。该公司高管已经明确表示,他们 "绝对不想、不希望、不计划将[Facebook的]服务撤出欧洲"——但如果IDPC的命令最终得到执行,Facebook和其他面临类似困难的公司可能无法再在欧盟提供服务。
鉴于这种对跨大西洋商务的潜在严重且迅速加速的威胁,欧洲领先的行业团体——包括DIGITALEUROPE和德国行业协会的广泛联盟——开始发出可怕的警告也就不足为奇了。这些团体指出,每天 "数以百万计的交易将数据带入和带出欧洲","是现代经济的命脉";强调Schrems II对欧洲小企业施加了逐个案例(和逐个国家)的尽调义务,对他们来说 "很可能是一项不可能完成的任务",特别是在 "试图度过有史以来最严重的经济衰退 "的时候;呼吁 "欧盟委员会和数据保护监管机构......迅速公布关于第三国数据保护水平的统一信息,以便不是每个机构和每个公司都必须自己进行检查";在欧盟对美数据转移方面,要求 "在法律明确之前暂停执法"。
Schrems II裁决造成的持续不确定性,加上欧盟知名官员越来越多地呼吁数据本地化和欧洲"数字主权"【译者注:详见本公号对这“欧盟技术主权”方面的译介,具体文章列表在文末可见】,欧盟和美国之间的数据传输有可能出现全面崩溃。使情况复杂化的是,欧洲法院的判决不仅仅是一个跨国法律冲突的问题。它要求根据定义不清的欧盟数据保护标准,对非欧盟国家有关政府信息获取的法律和实践进行审查——在此背景下,这些标准并没有适用于欧盟成员国的类似法律和实践。这种不确定和不平衡的现状是不能维持的。它需要一个持久的政治解决方案。
美国政府正在根据Schrems II决定积极考虑其选择,并希望找到一条相互建设性和富有成效的前进道路。现实情况是,欧盟与美国的关系是丰富复杂的,跨境数据问题几乎影响到这一深厚伙伴关系的每一个方面。
现在应该很清楚,Schrems II并不只牵涉到科技和数字部门的商业数据转移。恰恰相反,该决定对跨大西洋的信息共享有潜在的影响,比如卫生部门,包括正在进行的有关COVID-19的治疗和疫苗的医学研究和临床试验;执法和情报合作,因为欧盟和美国都面临着对公共安全和国家安全的日益危险的威胁;以及欧盟金融机构对美国金融市场的参与,因为两个社会共同面临着前所未有的经济挑战。Schrems II还提出了关于欧盟向全世界其他尊重权利的国家转移数据的问题——更不用说向专制国家转移数据的问题了,这些问题应该受到比迄今为止更严格的审查。它还提出了一些问题,涉及欧盟成员国之间、成员国内部和成员国之间多种形式的信息共享,以及如何证明这些不同的待遇(与向美国转移数据的待遇相比)是合理的。
尽管我们的法律方法不同,但美国和欧盟及其成员国在个人隐私和数据保护方面有着共同的价值观。作为致力于法治的志同道合的民主国家,欧盟和美国以前曾设法制定政策解决方案,以弥合我们的法律制度。现在,我们比以往任何时候都更加尊重隐私和数据保护;我们有义务保护和改善我们公民的生活;我们在科学和工业领域的集体进步,这些都要求双方做出真正的、真诚的努力,再次弥合我们各自的数据保护制度,并提供对跨大西洋商业和合作至关重要的法律清晰度和确定性。(完)
公号君一直非常关注数据跨境流动。对此议题,本公号曾发表的文章如下:
另外一个与此相关的系列研究是:个人数据与域外国家安全审查系列文章。这个系列具体的文章列表,请见文末。以上供大家参考。
DPO社群成果
线下沙龙实录见:
传染病疫情防控与个人信息保护系列文章
美国电信行业涉及外国参与的安全审查系列文章
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
中国的网络安全审查系列文章:
美国的出口管制制度系列文章:
自动驾驶系列文章:
欧盟“技术主权”进展跟踪系列文章:
第29条工作组/EDPB关于GDPR的指导意见:
数据安全法系列文章:
个人数据与域外国家安全审查系列文章
人脸识别系列文章:
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
供应链安全:
美国方面的个人信息保护立法: